CONSELHO DA UNIÃO EUROPEIA Bruxelas, 1 de março de 2013 Dossiê interinstitucional: 2012/0011 (COD) 6607/1/13 REV 1 DATAPROTECT 18 JAI 125 MI 116 DRS 30 DAPIX 28 FREMP 13 COMIX 108 CODEC 359 NOTA de: Presidência para: Conselho n.º doc. ant.: 16525/1/12 REV 1 DATAPROTECT 132 JAI 819 DAPIX 145 MI 753 FREMP 141 DRS 131 CODEC 2744 5702/13 DATAPROTECT 2 JAI 47 MI 44 DRS 17 DAPIX 6 FREMP 3 COMIX 40 CODEC 155 5779/13 DATAPROTECT 4 JAI 53 MI 47 DRS 18 DAPIX 8 FREMP 4 COMIX 44 CODEC 164 Assunto: Proposta de regulamento do Parlamento Europeu e do Conselho relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (regulamento geral sobre a proteção de dados) Implementação da abordagem baseada nos riscos Flexibilidade para o setor público I. Considerações gerais 1. A presente nota da Presidência visa informar o Conselho sobre os progressos realizados no que respeita à proposta, apresentada pela Comissão, de regulamento geral sobre a proteção de dados. Durante as primeiras seis semanas do seu mandato, a Presidência consagrou no total dez dias úteis a este dossiê (sete dias de reunião do Grupo do Intercâmbio de Informações e da Proteção de Dados (DAPIX) e três do Grupo dos Amigos da Presidência). Foi assim possível, com base nos trabalhos efetuados pelas Presidências Dinamarquesa e Cipriota, ultimar uma primeira análise de toda a proposta. 6607/1/13 REV 1 HRL/eg 1
A Presidência começou também a dar seguimento às instruções do Conselho JAI de dezembro de 2012 no que toca a dois importantes imperativos das negociações, a saber, adotar uma abordagem mais baseada nos riscos no regulamento e determinar se, e de que forma, o regulamento pode oferecer suficiente flexibilidade para o setor público. II. Abordagem baseada nos riscos 2. No âmbito da primeira análise da proposta de regulamento geral sobre a proteção de dados, vários Estados-Membros manifestaram o seu desacordo com o nível prescritivo de um certo número de obrigações propostas no projeto de regulamento. Ao mesmo tempo, diversos outros Estados-Membros recordaram a necessidade de garantir a segurança jurídica no regulamento proposto. 3. A Presidência Cipriota já havia convidado as delegações a exprimirem a sua opinião sobre formas alternativas de reduzir os encargos administrativos mantendo simultaneamente a proteção dos direitos individuais. Muitas delegações haviam declarado que o risco inerente a certas operações de tratamento de dados deveria ser o critério principal para aferir as obrigações em matéria de proteção de dados. Quanto maior for o risco em matéria de proteção de dados, mais se justifica a existência de obrigações detalhadas e, quando o risco for comparativamente menor, o nível prescritivo pode e deve ser reduzido. 4. Na reunião de dezembro, o Conselho incumbiu o Grupo DAPIX de continuar a estudar propostas concretas que permitam adotar no texto do projeto de regulamento uma abordagem mais baseada nos riscos. 5. Em conformidade com estas instruções, a Presidência sugeriu um conjunto de alterações ao texto do Capítulo IV (relativo à responsabilidade dos responsáveis pelo tratamento e dos subcontratantes) da proposta de regulamento. O projeto revisto deste capítulo inclui uma "cláusula horizontal" no artigo 22.º, bem como uma reformulação de uma série de disposições (em especial, artigos 23.º, 26.º, 28.º, 30.º, 31.º, 33.º, 34.º e 35.º) no sentido de atender à questão dos riscos. As disposições com reduzido valor acrescentado (artigos 27.º e 29.º) foram abandonadas. Embora a reformulação do Capítulo IV apresentada pela Presidência 1 tenha sido de modo geral bem acolhida, mantêm-se algumas diferenças de abordagem em relação a determinados artigos: 1 Ver Anexo I do doc. 5702/143 DATAPROTECT 2 JAI 47 MI 44 DRS 17 DAPIX 6 FREMP 3 COMIX 40 CODEC 155, objeto de uma reserva geral de análise das delegações. 6607/1/13 REV 1 HRL/eg 2
a) avaliações de impacto sobre a proteção de dados sempre que as operações de tratamento apresentem riscos específicos (artigo 33.º), alguns Estados-Membros põem em causa a obrigação de proceder à consulta prévia da autoridade de controlo quando essa avaliação indicar que as operações de tratamento propostas podem de facto apresentar um elevado nível de riscos específicos, pois nesse caso o tratamento não poderia ser iniciado durante o prazo de consulta sugerido. b) Aceitando embora a designação de um delegado para a proteção de dados no caso dos tratamentos que apresentam riscos, alguns Estados-Membros consideram que a designação deveria ser facultativa e não obrigatória. Além disso, a designação de um delegado, nos casos em que tivesse lugar, deveria trazer algumas vantagens em termos de redução das obrigações. Contribuir-se-ia assim para incentivar a designação desses delegados. c) Embora os códigos de conduta (artigo 38.º) e os mecanismos de certificação (artigo 39.º) tenham sido objeto de um amplo apoio, diversos Estados-Membros consideram que é possível reforçar a relação entre estes artigos e o processo de avaliação dos riscos previsto em artigos anteriores do Capítulo IV. Desse modo, contribuir-se-ia para fomentar a aplicação de códigos aprovados e para promover um maior recurso a mecanismos de certificação aprovados em matéria de proteção de dados. Poderia prever-se que não são necessárias novas avaliações de riscos sempre que o responsável pelo tratamento siga um código de conduta, ou que a categoria de operações de tratamento em causa beneficie de um mecanismo de certificação. 6. Os debates relativos ao novo projeto de Capítulo IV mostraram que este terá de ser aperfeiçoado a fim de estabelecer critérios que permitam distinguir os diferentes tipos de risco que podem implicar diferentes tipos de obrigações para o responsável pelo tratamento, tendo em conta, nomeadamente, as necessidades das micro, pequenas e médias empresas (PME). Haverá também que estudar mais aprofundadamente a questão de saber se, e de que forma, a utilização de dados sob pseudónimo pode contribuir para a aferição das obrigações de proteção de dados dos responsáveis pelo tratamento e dos subcontratantes. 6607/1/13 REV 1 HRL/eg 3
7. Embora o Capítulo IV do regulamento seja o que se presta melhor à integração de uma abordagem baseada nos riscos, a Presidência procurou também inserir elementos nesse sentido em determinadas partes do Capítulo III (nomeadamente, artigos 12.º, 14.º e 15.º), a fim de assegurar um exercício efetivo e eficiente dos direitos do titular dos dados, aumentando simultaneamente a segurança e a transparência. Propõe-se que se abandonem certas disposições que deixaram de ser necessárias na sequência da reestruturação do texto (artigos 11.º e 13.º). 8. A Presidência considera desnecessárias várias disposições que permitiriam à Comissão adotar atos delegados e atos de execução, nomeadamente os n.ºs 7 e 8 do artigo 14.º, os n.ºs 3 e 4 do artigo 15.º, o n.º 4 do artigo 22.º, o n.º 3 do artigo 23.º e o n.º 9 do artigo 34.º. Evidentemente, tal não prejudica a revisão horizontal do mérito da atribuição de competências para a adoção de atos delegados e de execução ao longo de todo o regulamento, que terá de se realizar em fase ulterior. 9. Na reunião do Grupo DAPIX de 12 e 13 de fevereiro de 2013, as alterações sugeridas à proposta de regulamento foram de modo geral bem acolhidas pelas delegações. O Presidente do Grupo declarou que a Presidência procurará ter em conta, tanto quanto possível, as observações escritas e orais apresentadas pelas delegações. III. Flexibilidade para o setor público 10. Numa fase inicial dos debates, vários Estados-Membros afirmaram que precisam de mais flexibilidade em relação às regras de proteção de dados para o setor público, a fim de poderem aplicar essas regras no âmbito do seu ordenamento constitucional, jurídico e institucional. Na reunião ministerial informal JAI realizada em Nicósia, no mês de julho, os Ministros encetaram um debate sobre a aplicação das regras de proteção de dados ao setor público, tendo, na reunião do Conselho JAI de dezembro, ficado acordado que a questão de saber se, e de que forma, o regulamento pode oferecer flexibilidade para o setor público dos Estados- -Membros não poderia ser decidida antes de concluída a primeira análise do texto do projeto de regulamento. 6607/1/13 REV 1 HRL/eg 4
11. Após a conclusão da primeira análise do texto, a Presidência lançou então um processo de reflexão para determinar se, de que forma, o regulamento pode ter suficientemente em conta as especificidades do setor público dos Estados-Membros. Este debate suscita problemas de definição das linhas de demarcação entre o setor público e o setor privado. Verificou-se que, para ter em conta as especificidades do setor público, poderá ser necessário adaptar a aplicação de algumas regras de proteção de dados (por exemplo, no que se refere aos registos públicos, aos arquivos estatais ou à definição de perfis). 12. Para clarificar a aplicação dos princípios do regulamento em matéria de proteção de dados às especificidades dos respetivos setores públicos, os Estados-Membros poderiam indicar claramente, mediante o aditamento de um texto adequado relacionado com o artigo 6.º, n.º 3, quais os tipos de elementos que podem ser especificados pela legislação nacional ou, consoante o caso, da União. Deveria ficar claro que caberia à legislação nacional ou, consoante o caso, da União determinar as finalidades do tratamento e o responsável pelo tratamento. Além disso, haveria que clarificar que essa legislação poderia, dentro dos limites do regulamento, especificar o tipo de dados sujeitos a tratamento, as pessoas autorizadas a consultar e utilizar esses dados, as limitações das finalidades, os períodos de conservação e os procedimentos de tratamento. O princípio do direito de acesso público aos documentos oficiais também terá de ser tomado expressamente em conta. 13. Embora os primeiros debates, realizados na reunião do Grupo dos Amigos da Presidência de 14 de fevereiro de 2013, tenham demonstrado que o projeto revisto de regulamento já proporciona um certo grau de flexibilidade, é necessário clarificar melhor o âmbito de aplicação dessa flexibilidade. A questão de saber se o regulamento permite incorporar o nível de flexibilidade necessário para o setor público dos Estados-Membros será elucidada com a evolução dos trabalhos, pelo que ainda não é altura de a debater nesta reunião do Conselho. 6607/1/13 REV 1 HRL/eg 5
14. Tendo em conta as considerações que precedem, convida-se o Conselho a: 1) Tomar nota do ponto da situação acima exposto; 2) Debater se: a) Os responsáveis pelo tratamento devem ter a obrigação de proceder à consulta prévia da autoridade de controlo quando a avaliação dos riscos por eles realizada indicar que as operações de tratamento previstas podem apresentar um elevado nível de riscos específicos; b) A designação de um delegado para a proteção de dados deve ser facultativa, em vez de obrigatória, e se as obrigações do responsável pelo tratamento podem ser reduzidas nos casos em que tiver sido designado um delegado a título voluntário; c) A aplicação de códigos de conduta aprovados e o recurso a mecanismos de certificação aprovados em matéria de proteção de dados devem ser incentivados relacionando-os com o processo de avaliação dos riscos; 3) Incumbir o COREPER e o Grupo DAPIX de prosseguir os trabalhos sobre a abordagem baseada nos riscos, nomeadamente: a) Desenvolvendo critérios que permitam ao responsável pelo tratamento e ao subcontratante distinguir os níveis de risco nos moldes sugeridos no ponto 6 supra, a fim de aferir a aplicação das suas obrigações em matéria de proteção de dados; b) Estudando mais aprofundadamente a utilização de dados sob pseudónimo como forma de aferir as obrigações de proteção de dados dos responsáveis pelo tratamento e dos subcontratantes; e 4) Encarregar o COREPER e o Grupo DAPIX de prosseguir os trabalhos sobre a flexibilidade para o setor público nos moldes sugeridos no ponto 12 supra, clarificando os elementos que podem ser regulados nos termos da legislação que fornece a base jurídica nacional para o tratamento dos dados. 6607/1/13 REV 1 HRL/eg 6